Ang artikulong ito ay isang pagpapatuloy nakatuon sa mga detalye ng pag-set up ng kagamitan Palo Alto Networks . Dito gusto naming pag-usapan ang tungkol sa setup IPSec Site-to-Site VPN sa kagamitan Palo Alto Networks at tungkol sa posibleng opsyon sa pagsasaayos para sa pagkonekta ng ilang Internet provider.
Para sa demonstrasyon, gagamitin ang isang karaniwang pamamaraan para sa pagkonekta sa punong tanggapan sa sangay. Upang makapagbigay ng fault-tolerant na koneksyon sa Internet, ang punong tanggapan ay gumagamit ng magkasabay na koneksyon ng dalawang provider: ISP-1 at ISP-2. Ang sangay ay may koneksyon sa isang provider lamang, ang ISP-3. Dalawang tunnel ang itinayo sa pagitan ng mga firewall na PA-1 at PA-2. Ang mga tunnel ay gumagana sa mode Active-Standby,Tunnel-1 ay aktibo, Tunnel-2 ay magsisimulang magpadala ng trapiko kapag ang Tunnel-1 ay nabigo. Gumagamit ang Tunnel-1 ng koneksyon sa ISP-1, gumagamit ang Tunnel-2 ng koneksyon sa ISP-2. Ang lahat ng mga IP address ay random na nabuo para sa mga layunin ng pagpapakita at walang kaugnayan sa katotohanan.
Upang bumuo ng isang Site-to-Site VPN ay gagamitin IPsec β isang hanay ng mga protocol upang matiyak ang proteksyon ng data na ipinadala sa pamamagitan ng IP. IPsec gagana gamit ang isang security protocol ESP (Encapsulating Security Payload), na titiyakin ang pag-encrypt ng ipinadalang data.
Π IPsec pumasok IKE (Internet Key Exchange) ay isang protocol na responsable para sa pakikipag-ayos sa SA (security associations), mga parameter ng seguridad na ginagamit upang protektahan ang ipinadalang data. Suporta sa mga firewall ng PAN IKEv1 ΠΈ IKEv2.
Π IKEv1 Ang isang koneksyon sa VPN ay binuo sa dalawang yugto: IKEv1 Phase 1 (IKE tunnel) at IKEv1 Phase 2 (IPSec tunnel), kaya, dalawang tunnel ang nilikha, ang isa ay ginagamit para sa pagpapalitan ng impormasyon ng serbisyo sa pagitan ng mga firewall, ang pangalawa para sa paghahatid ng trapiko. SA IKEv1 Phase 1 Mayroong dalawang operating mode - pangunahing mode at agresibong mode. Gumagamit ang agresibong mode ng mas kaunting mga mensahe at mas mabilis, ngunit hindi sumusuporta sa Proteksyon ng Pagkakakilanlan ng Peer.
IKEv2 dumating upang palitan IKEv1, at kumpara sa IKEv1 ang pangunahing bentahe nito ay ang mas mababang mga kinakailangan sa bandwidth at mas mabilis na negosasyon sa SA. SA IKEv2 Mas kaunting mga mensahe ng serbisyo ang ginagamit (4 sa kabuuan), sinusuportahan ang mga protocol ng EAP at MOBIKE, at isang mekanismo ang idinagdag upang suriin ang availability ng peer kung saan nilikha ang tunnel - Liveness Check, pinapalitan ang Dead Peer Detection sa IKEv1. Kung nabigo ang tseke, kung gayon IKEv2 maaaring i-reset ang tunnel at pagkatapos ay awtomatikong ibalik ito sa unang pagkakataon. Maaari kang matuto nang higit pa tungkol sa mga pagkakaiba .
Kung ang isang tunnel ay binuo sa pagitan ng mga firewall mula sa iba't ibang mga tagagawa, maaaring may mga bug sa pagpapatupad IKEv2, at para sa pagiging tugma sa naturang kagamitan posible itong gamitin IKEv1. Sa ibang mga kaso ito ay mas mahusay na gamitin IKEv2.
Mga Hakbang sa Pag-setup:
β’ Pag-configure ng dalawang Internet provider sa ActiveStandby mode
Mayroong ilang mga paraan upang ipatupad ang function na ito. Ang isa sa kanila ay ang paggamit ng mekanismo Pagsubaybay sa Landas, na naging available simula sa bersyon PAN-OS 8.0.0. Ang halimbawang ito ay gumagamit ng bersyon 8.0.16. Ang tampok na ito ay katulad ng IP SLA sa mga router ng Cisco. Kino-configure ng static na default na parameter ng ruta ang pagpapadala ng mga ping packet sa isang partikular na IP address mula sa isang partikular na source address. Sa kasong ito, ipi-ping ng interface ng ethernet1/1 ang default na gateway isang beses bawat segundo. Kung walang tugon sa tatlong magkakasunod na ping, ang ruta ay ituturing na sira at inalis mula sa routing table. Ang parehong ruta ay na-configure patungo sa pangalawang Internet provider, ngunit may mas mataas na sukatan (ito ay isang backup). Kapag naalis na ang unang ruta sa talahanayan, magsisimulang magpadala ang firewall ng trapiko sa pangalawang ruta β Fail-Over. Kapag nagsimulang tumugon ang unang provider sa mga ping, babalik ang ruta nito sa talahanayan at papalitan ang pangalawa dahil sa mas magandang sukatan - Fail-Back. Proseso Fail-Over tumatagal ng ilang segundo depende sa mga na-configure na agwat, ngunit, sa anumang kaso, ang proseso ay hindi madalian, at sa panahong ito ay nawala ang trapiko. Fail-Back pumasa nang walang pagkawala ng trapiko. May pagkakataon na gawin Fail-Over mas mabilis, kasama BFD, kung ang Internet provider ay nagbibigay ng ganitong pagkakataon. BFD suportado simula sa modelo PA-3000 Series ΠΈ VM-100. Mas mainam na tukuyin hindi ang gateway ng provider bilang ping address, ngunit isang pampubliko, palaging naa-access na Internet address.
β’ Paglikha ng interface ng tunnel
Ang trapiko sa loob ng tunnel ay ipinapadala sa pamamagitan ng mga espesyal na virtual na interface. Ang bawat isa sa kanila ay dapat na i-configure gamit ang isang IP address mula sa network ng transit. Sa halimbawang ito, ang substation na 1/172.16.1.0 ay gagamitin para sa Tunnel-30, at ang substation na 2/172.16.2.0 ay gagamitin para sa Tunnel-30.
Ang interface ng tunnel ay nilikha sa seksyon Network -> Mga Interface -> Tunnel. Dapat mong tukuyin ang isang virtual na router at security zone, pati na rin ang isang IP address mula sa kaukulang transport network. Ang numero ng interface ay maaaring anuman.
Sa seksyon Advanced maaaring tukuyin Profile ng Pamamahalana magpapahintulot sa pag-ping sa ibinigay na interface, ito ay maaaring maging kapaki-pakinabang para sa pagsubok.
β’ Pagse-set up ng IKE Profile
Profile ng IKE ay responsable para sa unang yugto ng paglikha ng isang koneksyon sa VPN; ang mga parameter ng tunnel ay tinukoy dito IKE Phase 1. Ang profile ay nilikha sa seksyon Network -> Mga Profile sa Network -> IKE Crypto. Kinakailangang tukuyin ang encryption algorithm, hashing algorithm, Diffie-Hellman group at key lifetime. Sa pangkalahatan, mas kumplikado ang mga algorithm, mas malala ang pagganap; dapat silang piliin batay sa mga tiyak na kinakailangan sa seguridad. Gayunpaman, mahigpit na hindi inirerekomenda na gumamit ng grupong Diffie-Hellman sa ibaba 14 upang protektahan ang sensitibong impormasyon. Ito ay dahil sa kahinaan ng protocol, na maaari lamang mabawasan sa pamamagitan ng paggamit ng mga laki ng module na 2048 bits at mas mataas, o elliptic cryptography algorithm, na ginagamit sa mga pangkat 19, 20, 21, 24. Ang mga algorithm na ito ay may mas mahusay na pagganap kumpara sa tradisyonal na cryptography. . At .
β’ Pag-configure ng IPSec Profile
Ang pangalawang yugto ng paglikha ng isang koneksyon sa VPN ay isang IPSec tunnel. Ang mga parameter ng SA para dito ay naka-configure sa Network -> Mga Profile sa Network -> Profile ng IPSec Crypto. Dito kailangan mong tukuyin ang IPSec protocol - AH o ESP, pati na rin ang mga parameter SA β hashing algorithm, encryption, Diffie-Hellman group at key lifetime. Ang mga parameter ng SA sa IKE Crypto Profile at IPSec Crypto Profile ay maaaring hindi pareho.
β’ Pag-configure ng IKE Gateway
IKE Gateway - ito ay isang bagay na nagtatalaga ng isang router o firewall kung saan binuo ang isang VPN tunnel. Para sa bawat tunnel kailangan mong lumikha ng iyong sarili IKE Gateway. Sa kasong ito, dalawang tunnel ang nilikha, isa sa pamamagitan ng bawat Internet provider. Ang katumbas na papalabas na interface at ang IP address nito, peer IP address, at shared key ay ipinahiwatig. Maaaring gamitin ang mga sertipiko bilang alternatibo sa isang nakabahaging key.
Ang naunang ginawa ay ipinahiwatig dito Profile ng IKE Crypto. Mga parameter ng pangalawang bagay IKE Gateway katulad, maliban sa mga IP address. Kung ang Palo Alto Networks firewall ay matatagpuan sa likod ng isang NAT router, kailangan mong paganahin ang mekanismo NAT Traversal.
β’ Pagse-set up ng IPSec Tunnel
Tunnel ng IPSec ay isang bagay na tumutukoy sa mga parameter ng IPSec tunnel, gaya ng iminumungkahi ng pangalan. Dito kailangan mong tukuyin ang interface ng tunnel at mga naunang nilikha na bagay IKE Gateway, Profile ng IPSec Crypto. Upang matiyak ang awtomatikong paglipat ng pagruruta sa backup tunnel, dapat mong paganahin Monitor ng Tunnel. Ito ay isang mekanismo na nagsusuri kung ang isang peer ay buhay gamit ang trapiko ng ICMP. Bilang patutunguhang address, kailangan mong tukuyin ang IP address ng tunnel interface ng peer kung saan itinatayo ang tunnel. Tinutukoy ng profile ang mga timer at kung ano ang gagawin kung nawala ang koneksyon. Maghintay Mabawi β maghintay hanggang sa maibalik ang koneksyon, Fail Over β magpadala ng trapiko sa ibang ruta, kung magagamit. Ang pagse-set up ng pangalawang tunnel ay ganap na magkatulad; ang pangalawang tunnel interface at IKE Gateway ay tinukoy.
β’ Pagse-set up ng pagruruta
Ang halimbawang ito ay gumagamit ng static na pagruruta. Sa PA-1 firewall, bilang karagdagan sa dalawang default na ruta, kailangan mong tukuyin ang dalawang ruta sa 10.10.10.0/24 subnet sa sangay. Ang isang ruta ay gumagamit ng Tunnel-1, ang isa pang Tunnel-2. Ang ruta sa pamamagitan ng Tunnel-1 ay ang pangunahing isa dahil mayroon itong mas mababang sukatan. Mekanismo Pagsubaybay sa Landas hindi ginagamit para sa mga rutang ito. Responsable para sa paglipat Monitor ng Tunnel.
Ang parehong mga ruta para sa subnet 192.168.30.0/24 ay kailangang i-configure sa PA-2.
β’ Pagse-set up ng mga panuntunan sa network
Para gumana ang tunel, kailangan ang tatlong panuntunan:
- Upang magtrabaho Monitor ng Landas Payagan ang ICMP sa mga panlabas na interface.
- Para sa IPsec payagan ang mga app ike ΠΈ ipsec sa mga panlabas na interface.
- Payagan ang trapiko sa pagitan ng mga panloob na subnet at mga interface ng tunnel.
Konklusyon
Tinatalakay ng artikulong ito ang opsyon ng pag-set up ng fault-tolerant na koneksyon sa Internet at Site-to-Site VPN. Inaasahan namin na ang impormasyon ay kapaki-pakinabang at ang mambabasa ay nakakuha ng ideya ng mga teknolohiyang ginamit sa Palo Alto Networks. Kung mayroon kang mga katanungan tungkol sa pag-setup at mga mungkahi sa mga paksa para sa mga artikulo sa hinaharap, isulat ang mga ito sa mga komento, ikalulugod naming sagutin.
Pinagmulan: www.habr.com